风险管理与信息安全风险评估.pptVIP

协助国信办提出试点工作阶段划分的建议 专家组建议试点工作划分为以下几个阶段： 1、准备阶段 成立试点工作组织机构，制定试点工作规范 选定试点单位 2、实施阶段 组织对试点单位进行评估方法和技术的培训； 试点单位进行评估，并向国信办提交工作报告； 组织交流和研讨，小结试点单位评估经验，提出整改建议 3、总结阶段 第二十九页，共四十五页。 积极参与了试点工作 协助修订《关于开展信息安全风险评估工作的意见》，提供相关的咨询和技术支持。 参与试点的相关咨询工作 1、准备阶段：组织八个试点单位的相关人员进行培训，明确风险评估流程和风险评估准备阶段的任务，协助试点单位制定其风险评估实施方案。 标准培训 试点方案编制的培训　 2、实施阶段：调研试点方案实施情况，了解试点单位对评估及管理的流程、方法、工具的使用存在的问题，充实和完善标准。 选择重点单位进行调研，并对关键阶段进行蹲点，以切实了解单位试点工作过程中存在的问题，为两个标准的完善提供实践素材； 进行试点中期总结，为指导意见提供阶段性素材； 根据试点单位需求，进行有针对性的培训和咨询，协助完成试点工作 第三十页，共四十五页。 积极参与了试点工作（续） 总结阶段：协助国信办汇总试点工作情况，总结修改意见，并完善标准。 在各试点单位正式总结之前，召开专家组评审会； 为国信办试点工作总结提供基础素材。 标准的完善 充实和完善《信息安全风险评估指南》和《信息安全风险管理指南》，通过试点工作提出两个标准的修改意见。同时进行与标准相关的配套理论、方法和规范的研究。 第三十一页，共四十五页。 试点工作与标准验证 试点工作对去年国信办组织制定的两项试行标准进行了验证，提出了修订建议 绝大多数试点单位大都参照了去年国信办和国家安标委组织编写的《信息安全风险评估指南》及《信息安全风险管理指南》。 试点单位大都结合自身的具体情况，选择了相应的评估方法和适当的安全控制措施及管理流程，实践经验证明各试点单位评估基于的基本原则和核心方法与试行标准指南大体吻合一致。 第三十二页，共四十五页。 风险管理与信息安全风险评估 国家信息中心 2005.12  第一页，共四十五页。 提 纲 一：信息化风险及风险管理研究 二：信息安全风险评估贵在实践 三、试点经验宝贵 第二页，共四十五页。 一：信息化风险及风险管理研究 随着信息化的发展，信息化的风险与风险管理问题已经成为各个国家、国际组织所普遍关注的问题。 信息化的风险管理，其中信息安全风险和保障网络空间的安全已经成为关系信息化能否健康发展的重大问题。 第三页，共四十五页。 一、信息化风险的定义 风险指行动或者事件的结果的不确定性（uncertainty of outcome）。 信息化的风险被界定为信息化可能或者实际带来的消极威胁。 风险管理泛指评估风险、确认风险、回应风险的过程。 第四页，共四十五页。 二、信息化风险的主要特征 全球性 传染性 复杂性 隐蔽性 第五页，共四十五页。 三、信息化风险的内在原因 基本原因在于内因，由信息化自身的特点所决定 第一，信息化的无疆界特征； 第二，信息化的低成本特征； 第三，信息化的开放性特征； 第四，信息化的匿名性特征。 第六页，共四十五页。 第一，自然灾害 第二，误操作和安全生产事故； 第三，病毒、蠕虫以及网络攻击； 第四，由于信任体系不完善，借助信息化手段进行欺诈； 第五，因内部因素而造成的信息、数据的修改和丢失和内部泄密； ； 第六，因外部因素造成信息、数据的泄露、篡改和丢失； 第七，安全防范措施不到位的高端技术。 四、外 部 原 因 第七页，共四十五页。 五、我国信息安全风险的生成机理 第一，战略能力不足，规划不明确。 （1）缺乏项目的建设战略 （2）缺乏项目的中长期发展规划 （3）缺乏明确项目的发展步骤 （4）缺乏项目的阶段性绩效标准 第八页，共四十五页。 第二，领导与组织能力不到位，统筹协调不力。 （1）领导对于风险管理的重视不足，忽视电子化政府项目的高风险等具体问题； （2）行政改革与创新的方向性错误； （3）组织信息化目标的错误设定，片面追求上网，忽视服务质量； （4）跨部门之信息化进程的协调问题； （5）重复建设问题 ； （6）信息化项目未能及时完成，预算超支问题； （7）信息孤岛问题 ； （8）项目难以有效评估或评测的问题 。 第九页，共四十五页。 第三，投资管理的能力差，项目管理体系不成熟。 （1）对项目投资管理的理念认识和关注不足； （2）项目的投资基础（投资负责机构、提出候选项目并予以筛选、对投资项目的选定与实施过程的监督、捕获投资信息等）建设不完善； （3）在项目的投资过程（包括相关筛选、控制和评估标准的确立，对实施